<div dir="ltr">what is the "audience" for this?  Will it be only for corporations? Will some of the "rules" and logic somehow be available to the end-user (ie desktop app, browser plug-in, etc?)<br><br>
scoring sounds great, also IP/domain reputation. <br><br><div class="gmail_quote">On Thu, Oct 16, 2008 at 9:00 PM, Matt Jonkman <span dir="ltr"><<a href="mailto:jonkman@jonkmans.com">jonkman@jonkmans.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Here's the big thread. And don't be afraid to start sub-threads for<br>
specifics here.<br>
<br>
The features we want to go after here are the primary reason we sought<br>
this funding and are taking this challenge on. Existing stuff works, but<br>
there's SO much more we could be doing by looking past traditional ips<br>
strengths. The challenge is that those things aren't conducive to making<br>
a commercial product with millions invested in development. No one can<br>
take this risk now, so we're going this route to make it happen.<br>
<br>
We have information about bad guys, bad places, and bad patterns. Lots<br>
of it, terabytes of it. We've got gigs of data about bad stuff in the<br>
sandnet at emerging threats alone. But most of that we can't effectively<br>
act upon. We can't give huge lists of bad IPs to most tools, we can't<br>
feed behavior patterns to existing tools, we can't share scan data<br>
globally, etc.<br>
<br>
So here we are. I have things I wish I could do, you have things you<br>
wish you could do, over the next couple of months we aim to get to the<br>
core set of the most important things that most of us want to be able to<br>
do. Then we'll go after it.<br>
<br>
So here's my wish list:<br>
<br>
1. Native multithreading.<br>
Not each preprocessor or post processor can go to a thread, but each<br>
stream can take a thread. Think apache. More servers = more requests<br>
served. THe complications of sharing state between them and the like is<br>
a challenge, but solvable.<br>
<br>
<br>
2. IP Reputation Sharing<br>
I want to feed these gigs of data I have and other projects have into my<br>
security devices and let it use that data to make smarter decisions. IP<br>
reputation isn't a new concept, but applying it in realtime will be a<br>
challenge. But this also opens us up to the possibility of sharing<br>
reputation data between ourselves.<br>
<br>
Imagine clouds of peer organizations sharing ip reputation between their<br>
security devices. Each benefits from teh data gained and contributes<br>
back what they encounter. All organizations become more safe.<br>
<br>
Then imagine organizations that collect this data for a living. We have<br>
an avenue for this data to be more commercially viable.<br>
<br>
<br>
3. Native ipv6<br>
Of course. No brainer there.<br>
<br>
<br>
4. Native Hardware acceleration support<br>
There are a number of hardware acceleration technologies that could be<br>
more effectively built into the engine from the start, versus the<br>
back-asswards reverse engineering we have to do now to effectively<br>
accelerate.<br>
<br>
<br>
5. Scoring<br>
Spam-assassin style point scoring. This would go a long way to<br>
eliminating false positives. The absolutely sure 100% guaranteed true<br>
positive rules of course would still hit. But the ones that are wrong as<br>
often as right could be given a score, say a half a point. If something<br>
else happens from that host within a certain timeframe that pushes that<br>
over a threshold then all of these alerts come back and can be acted<br>
upon with more confidence they're real. Complicated, but worthwhile.<br>
<br>
<br>
<br>
OK, those are my initial wish list items. Who has more? What else should<br>
we do? Any problems with the above?<br>
<br>
Matt<br>
<br>
<br>
<br>
--<br>
--------------------------------------------<br>
Matthew Jonkman<br>
Emerging Threats<br>
Phone 765-429-0398<br>
Fax 312-264-0205<br>
<a href="http://www.emergingthreats.net" target="_blank">http://www.emergingthreats.net</a><br>
--------------------------------------------<br>
<br>
PGP: <a href="http://www.jonkmans.com/mattjonkman.asc" target="_blank">http://www.jonkmans.com/mattjonkman.asc</a><br>
<br>
<br>
_______________________________________________<br>
Discussion mailing list<br>
<a href="mailto:Discussion@openinfosecfoundation.org">Discussion@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/discussion" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/discussion</a><br>
</blockquote></div><br></div>